Recientemente, investigadores de seguridad han identificado una vulnerabilidad en el servidor Xpress de SAP, utilizado en terminales de punto de venta, que permite a un pequeño ordenador, como una Raspberry Pi, no solo robar datos de tarjetas de crédito, sino también cambiar los precios. Según un artículo publicado en el blog de ERPScan, se encontraron varias vulnerabilidades en los sistemas de punto de venta desarrollados por SAP y Oracle, que permitían a los hackers no solo comprometer los datos de los clientes, sino también obtener un control total sobre el servidor de punto de venta.
SAP POS, un sistema de punto de venta cliente-servidor, forma parte del portafolio de soluciones SAP para el sector minorista, y es utilizado por el 80% de los minoristas en la lista Forbes Global 2000. Según los investigadores, el sistema no realizaba varias comprobaciones de autorización. Para demostrar la idea de los vectores de ataque, los investigadores realizaron un video de un ataque de prueba de concepto. En el video se muestra cómo un hacker puede acceder a la red donde se encuentra el terminal de punto de venta e instalar un malware diseñado para aplicar un descuento significativo.
“Una vez que estás dentro, tienes un control ilimitado sobre el backend y el frontend del sistema de punto de venta, ya que la herramienta puede cargar un archivo de configuración malicioso en el servidor SAP POS Xpress sin ningún procedimiento de autenticación”, dijeron los investigadores. “Los nuevos parámetros están limitados por la imaginación de los hackers: pueden establecer un precio especial o un descuento, el tiempo durante el cual el descuento es válido, las condiciones bajo las cuales funciona, por ejemplo, al comprar un producto específico. En nuestro caso, establecimos un descuento increíble en una MacBook”.
Dmitry Chastuhin, uno de los investigadores que identificó las vulnerabilidades, dijo que, en términos generales, no es un problema exclusivo de SAP. “Muchos sistemas de punto de venta tienen una arquitectura similar y, por lo tanto, las mismas vulnerabilidades. Los terminales de punto de venta solían estar plagados de vulnerabilidades, y desafortunadamente, muchas de ellas fueron encontradas y explotadas, por lo que su postura de seguridad ha mejorado significativamente”, afirmó. “Por otro lado, los bancos deben cumplir con diferentes estándares de cumplimiento. Por lo tanto, las conexiones entre la estación de trabajo del punto de venta y el servidor de la tienda resultan ser el eslabón más débil. Carecen de lo básico en ciberseguridad, como procedimientos de autorización y cifrado, y a nadie le importa. Entonces, una vez que un atacante está en la red, obtiene el control total del sistema”.
Las vulnerabilidades fueron reportadas al proveedor en abril de 2017. SAP lanzó el primer parche en julio, según su calendario de lanzamientos. Sin embargo, cuando los investigadores examinaron la solución, descubrieron que la nueva comprobación de autorización implementada podía ser eludida utilizando otra vulnerabilidad. Los investigadores notificaron al fabricante del software sobre el parche fallido el 15 de agosto. Teniendo en cuenta la gravedad de los problemas, SAP emitió un parche en menos de una semana, el 18 de agosto.
Es importante que las empresas y los minoristas estén conscientes de las vulnerabilidades en los sistemas de punto de venta y tomen medidas para proteger sus datos y los de sus clientes. La seguridad cibernética debe ser una prioridad en todos los aspectos de los negocios, especialmente en aquellos que manejan información financiera sensible. Mantener los sistemas actualizados con los últimos parches y soluciones de seguridad es fundamental para evitar ataques y proteger la integridad de los datos.
